Armadillo壳：

试玩armadillo3.50a一点心得 （基础知识）

Armadillo COPYMEMEII之DUMP的一个LOADPE小插件 （利用插件Dump取COPYMEMEII保护的程序）
Armadillo 3.6主程序脱壳   （Dump取COPYMEMEII保护的程序另一方法）

Patch 修复 Armadillo 的IAT乱序 （处理IAT乱序）

Armadillo中code splicing的几种处理方法 （手工修复Code Splicing）
Armadillo客户版Code Splicing+Import （利用ArmInline工具修复Code Splicing）

浅谈Armadillo V.3.75 与 V.3.78的保护 （Nanomites原理概念，即CC保护）
Blaze Media Pro5.05脱壳＋基本修复CC(int3)＋破解 （修复CC）
Armadillo V4.40主程序脱壳 （目前处理CC很好的一个方法）

使用 Armadillo.Find.Protected.By.vel
保护方式大部分可以识别出来

<------- 01-07-2006 15:44:33 ------->
*\Armadillo.exe
!- Protected Armadillo
Version 4.30a (Public Build)
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Import Table Elimination
Enable Nanomites Processing
Enable Memory-Patching Protections
!- <Backup Key Options>
Main Key Only, No Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>

谢谢两位楼主，有二楼的方法检测信息如下：
<------- 03-07-2006 15:01:12 ------->
!- Protected Armadillo
?- Signature = E40834E0
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Strategic Code Splicing
Enable Nanomites Processing
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
用PEID显示：
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
用FI 4.01a 查一下 显示为 Armadillo 4.00 {glue}
希望高手指点用一楼哪种方法比较合适，我试试了上面的几种方法可提示信息总是和文中说的不一样，因为我是一个初学者，就不知怎么办了。
真心谢谢！

我用――――Armadillo V4.X CopyMem-II脱壳――魔法转换(Magic Converter) V4.0正式版 提到的方法进行脱壳
一、寻找OEP+解码Dump
BP WaitForDebugEvent
F9运行时中断在这里：
0012D98C   00503335  /CALL 到 WriteProcessMemory 来自 SD5000Se.0050332F
0012D990   0000004C  |hProcess = 0000004C (window)
0012D994   0050ECF3  |Address = 50ECF3
0012D998   0012DC7C  |Buffer = 0012DC7C
0012D99C   00000002  |BytesToWrite = 2
0012D9A0   0012DC80  \pBytesWritten = 0012DC80
F9
0012D98C   0050335D  /CALL 到 WriteProcessMemory 来自 SD5000Se.00503357
0012D990   0000004C  |hProcess = 0000004C (window)
0012D994   0050ECF3  |Address = 50ECF3
0012D998   0053A29C  |Buffer = SD5000Se.0053A29C
0012D99C   00000002  |BytesToWrite = 2
0012D9A0   0012DC80  \pBytesWritten = 0012DC80
0012D9A4   0012F234  UNICODE "32.dll"
F9
0012DC8C   004FEE36  /CALL 到 WaitForDebugEvent 来自 SD5000Se.004FEE30
0012DC90   0012ED7C  |pDebugEvent = 0012ED7C
0012DC94   000003E8  \Timeout = 1000. ms
0012DC98   7C930738  ntdll.7C930738

接着下断：BP WriteProcessMemory
F9
好象和文中所说的就不一样了，我也不知道该怎么操作！希望高手指点！

Nanomites Processing 不是初学者所能对付的
放弃吧，等以后有了功力再去玩

还是想学学，请问四楼文中提到的
//下断，Shift+F9中断下来  把[ebp-A34]＝[0012CD7C]=000001B7清0  ★
该怎么操作？

数据窗口定位到那个地方
修改dword值为00 00 00 00

[ebp-A34]＝[0012CD7C]=000001B7
这三者的关系是怎么得来的，能具体解释一下这句话的意思吗，从哪儿看出来，是定位到0012CD7C还是定位到000001B7？
谢谢，是不是问题很菜，见笑了

请问用五楼文中提到的方法能否脱掉这种壳？

arm的壳已经脱了好多了,呵呵,魔法转换的算是比较麻烦的一种,呵呵,没时间多看他,主要知道原理就行了

最初由 李文 发布
请问用五楼文中提到的方法能否脱掉这种壳？

魔法转换只是CopyMem-II
还有Nanomites等等
可以参看：《Armadillo V4.40主程序脱壳》

在《Armadillo V4.40主程序脱壳》中提到的“运行DebugActiveProcess.osc”在OD中是如何操作的？请高手指点，谢谢！

楼上的高手能不能留下你的QQ号我咨询一下行吗？

《Armadillo V4.40主程序脱壳》文中的
还原EP Code的EBFE为60E8，Resume脚本  ★
是何意思？紧急请教！

有没有高手愿意帮助我脱掉ARM壳！
使用 Armadillo.Find.Protected.By.vel
<------- 03-07-2006 15:01:12 ------->
!- Protected Armadillo
?- Signature = E40834E0
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Strategic Code Splicing
Enable Nanomites Processing
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
<------------------------------------>
用PEID显示：
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
<------------------------------------>
用FI 4.01a 查一下 显示为 Armadillo 4.00 {glue}
<------------------------------------>
双进程

该软件在使用时弹出注册对话框，请问高手，除脱壳以外有没有别的破解办法？